Approfondimenti sulla cookie law
A cura di Ludwig Bargagli, presidente dell’associazione GuruAtWork
Il 2 giugno 2015 è scaduto il termine per mettersi in regola con le prescrizioni del Garante in materia di cookie (Provvedimento dell’8 maggio 2014: “Individuazione delle modalità semplificate per l’informativa e l’acquisizione del consenso per l’uso dei cookie”).
Il Provvedimento ha recepito la direttiva del Parlamento europeo relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche, conosciuta come “EU Cookie Law”.
I cookie (più precisamente HTTP cookie) sono informazioni scambiate tra un sito web e il browser dell’utente: quando l’utente visita il sito web alcune informazioni sono trasmesse al web browser e memorizzate in locale sul computer dell’utente. Quando l’utente visita nuovamente lo stesso sito, le informazioni sono restituire al sito web per informarlo delle precedenti attività dell’utente.
Le informazioni riguardano le abitudini dell’utente, ad esempio: quante volte è stato visitato un sito web in un determinato periodo, i tempi di visita di ogni pagina, eventuali acquisti effettuati ecc.
Il temine “cookie” è volutamente scherzoso affinché l’internauta possa ritenere un “biscottino” poco o per niente invadente (anche se non è detto che sia proprio così).
I cookie sono classificati in due principali categorie: cookie tecnici e i cookie di profilazione.
I cookie tecnici riguardano il buon funzionamento del sito e l’esperienza di navigazione dell’utente. Si possono suddividere in tre tipologie: cookie di navigazione (rendono possibile la navigazione sul sito), cookie statistici (per raccogliere informazioni, in forma aggregata sulla quantità di visitatori, sulle modalità di navigazione, sulla provenienza ecc.), cookie funzionali (per la memorizzazione, ad esempio, della lingua scelta o dei prodotti inseriti in un carrello).
I cookie di profilazione servono per raccogliere informazioni diffuse dagli utenti durante la navigazione, i loro gusti e le loro scelte (per utilizzarle a fini pubblicitari e commerciali).
Tutti i siti web (di pubbliche amministrazioni, di imprese, di professionisti, di associazioni, di blogger, ecc.) dovranno adeguarsi alla normativa per evitare sanzioni, pubblicando una informativa estesa (una pagina che indichi dettagliatamente l’utilizzo e le finalità dei cookie presenti sul sito).
E’ importante annotare che l’interpretazione della normativa non è univoca da parte di tutti i giuristi: alcuni ritengono che non sia applicabile, ad esempio, ai blog amatoriali.
Come recentemente chiarito dal Garante: “Chiarimenti in merito all’attuazione della normativa in materia di cookie”, l’utilizzo dei cookie tecnici (di prima o di terza parte) è consentita anche senza il consenso preventivo, aggiungendo l’informativa, ad esempio, alla pagina che tratta la privacy policy del sito. Non è quindi necessario fornire all’utente un’informativa breve mediante un banner.
L’utilizzo dei cookie di profilazione è consentito (ai sensi dell’articolo 122, comma 1, del Codice in materia di protezione dei dati personali) solo a condizione che l’utente abbia espresso il proprio consenso e sia stato adeguatamente informato. Il Provvedimento del Garante stabilisce una modalità semplificata per l’acquisizione del consenso preventivo: nel momento in cui l’utente accede a un sito web, deve essergli presentata una prima informativa “breve”, contenuta in un banner a comparsa immediata sulla home page (o altra pagina tramite la quale l’utente può accedere al sito), integrata da un’informativa “estesa”, alla quale si accede attraverso un link cliccabile dall’utente, e dalla richiesta di consenso all’uso dei cookie.
Se l’utente nega il consenso, i cookie devono essere disattivati oppure deve essere impedita la navigazione del sito.
I titolari dei siti che erogano cookie di profilazione, infine, dovranno darne comunicazione all’ufficio del Garante e versare contestualmente una somma pari a 150€ per spese di segreteria.
L’utente comunque, qualsiasi browser stia utilizzando, può cancellare la cronologia, svuotare la cache e anche eliminare i cookie “consumati” quotidianamente, in modo più o meno consapevole!
Le sanzioni stabilite in caso di mancato rispetto delle prescrizioni previste nel Provvedimento del Garante sono molto sostanziose: da 6.000 fino a 36.000 euro in caso di mancata o inidonea informativa; da 10.000 a 120.000 euro per la mancata acquisizione del consenso preventivo; l’omessa o incompleta notificazione al Garante ai sensi dell’articolo 161 è punita con una somma variabile da 20.000 a 120.000 euro.
